Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comm.software.webserver > #1624 > unrolled thread
| Started by | Marco Moock <mm+usenet@dorfdsl.de> |
|---|---|
| First post | 2024-05-23 09:48 +0200 |
| Last post | 2024-06-21 07:24 +0200 |
| Articles | 5 — 3 participants |
Back to article view | Back to de.comm.software.webserver
\x16\x03\x01" im apache-Log Marco Moock <mm+usenet@dorfdsl.de> - 2024-05-23 09:48 +0200
Re: \x16\x03\x01" im apache-Log Tim Ritberg <tim@server.invalid> - 2024-05-23 10:39 +0200
Re: \x16\x03\x01" im apache-Log Marco Moock <mm+solani@dorfdsl.de> - 2024-06-20 22:22 +0200
Re: \x16\x03\x01" im apache-Log Tim Ritberg <tim@server.invalid> - 2024-06-20 22:52 +0200
Re: \x16\x03\x01" im apache-Log Marco Moock <mm+solani@dorfdsl.de> - 2024-06-21 07:24 +0200
| From | Marco Moock <mm+usenet@dorfdsl.de> |
|---|---|
| Date | 2024-05-23 09:48 +0200 |
| Subject | \x16\x03\x01" im apache-Log |
| Message-ID | <v2msbr$1kodr$2@dont-email.me> |
Hello zusammen! Ich beobachte Einträge wie /var/log/apache2/access.log:31.220.1.83 - - [23/May/2024:01:27:19 +0200] "\x16\x03\x01" 400 492 "-" "-" An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc. Was will ein Angreifer mit diesem String bezwecken? -- Gruß Marco
[toc] | [next] | [standalone]
| From | Tim Ritberg <tim@server.invalid> |
|---|---|
| Date | 2024-05-23 10:39 +0200 |
| Message-ID | <v2mvc5$lgcr$1@tota-refugium.de> |
| In reply to | #1624 |
Am 23.05.24 um 09:48 schrieb Marco Moock: > Hello zusammen! > > Ich beobachte Einträge wie /var/log/apache2/access.log:31.220.1.83 - - > [23/May/2024:01:27:19 +0200] "\x16\x03\x01" 400 492 "-" "-" > > An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc. > Was will ein Angreifer mit diesem String bezwecken? > Scheinbar Multibyte oder einfach Binärdaten. Ist das vielleicht ein Vhost:80 der SSL-Anfragen bekommt? Tim
[toc] | [prev] | [next] | [standalone]
| From | Marco Moock <mm+solani@dorfdsl.de> |
|---|---|
| Date | 2024-06-20 22:22 +0200 |
| Message-ID | <v5231m$1ttou$2@solani.org> |
| In reply to | #1624 |
Am 23.05.2024 09:48 Uhr schrieb Marco Moock: > An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc. > Was will ein Angreifer mit diesem String bezwecken? Neben Angreifern, die dann versuchen, CGI-Skripte aufzurufen, kommt das auch von Scannern wie Censys oder Shadowserver. Ich frag da nun nach, was das bezwecken soll. Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber genauer analysieren. Jedenfalls habe ich den String in fail2ban nun gesperrt, ein legitimer User wird sowas nicht eingeben. -- Gruß Marco Spam und Werbung bitte an 1716450490ichwillgesperrtwerden@nirvana.admins.ws
[toc] | [prev] | [next] | [standalone]
| From | Tim Ritberg <tim@server.invalid> |
|---|---|
| Date | 2024-06-20 22:52 +0200 |
| Message-ID | <v524r1$1u0nt$1@tota-refugium.de> |
| In reply to | #1630 |
Am 20.06.24 um 22:22 schrieb Marco Moock: > Am 23.05.2024 09:48 Uhr schrieb Marco Moock: > >> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc. >> Was will ein Angreifer mit diesem String bezwecken? > > Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe > auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber genauer Nö, da läuft einfach TLS auf einen HTTP-Vhost auf. https://security.stackexchange.com/questions/162782/apache-strange-requests-in-logs what you see in \x16\x03\x01\x01... is just the start of a TLS 1.0 handshake, Tim
[toc] | [prev] | [next] | [standalone]
| From | Marco Moock <mm+solani@dorfdsl.de> |
|---|---|
| Date | 2024-06-21 07:24 +0200 |
| Message-ID | <v532r3$1uhsg$3@solani.org> |
| In reply to | #1631 |
Am 20.06.2024 22:52 Uhr schrieb Tim Ritberg: > Am 20.06.24 um 22:22 schrieb Marco Moock: > > Am 23.05.2024 09:48 Uhr schrieb Marco Moock: > > > >> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc. > >> Was will ein Angreifer mit diesem String bezwecken? > > > > Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe > > auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber > > genauer > Nö, da läuft einfach TLS auf einen HTTP-Vhost auf. > > > https://security.stackexchange.com/questions/162782/apache-strange-requests-in-logs > > what you see in \x16\x03\x01\x01... is just the start of a TLS 1.0 > handshake, Danke, das erklärt das. -- Gruß Marco Spam und Werbung bitte an 1718916769ichwillgesperrtwerden@nirvana.admins.ws
[toc] | [prev] | [standalone]
Back to top | Article view | de.comm.software.webserver
csiph-web